在我的 GCP 项目中,作为项目所有者,我在浏览器上启用了 SSH 选项,该选项适用于没有外部 IP 的 VM 实例,但对于拥有 Compute Admin 并使用“roles/iam.serviceAccountUser”来计算服务帐户的其他用户则无法启用。这些用户可以通过浏览器使用 SSH,并在 shell 中使用 Cloud IAP 连接到具有外部 IP 的实例。
即使实例是由用户创建的,他也没有启用浏览器 SSH,并且它是为项目所有者启用的。
哪种配置允许项目所有者角色为没有外部 IP 的实例启用浏览器 SSH,而为其他用户禁用?
我查看了有关 SSH、权限等的 Google 文档。到处都提到了无需外部 IP 即可访问实例的方法,如果所有者也无法通过浏览器使用 SSH,这将非常有用。我知道我们可以通过其他方式使用 SSH 访问实例。我想知道哪些权限/角色使所有者能够通过浏览器使用 SSH。
谢谢,Praveen
答案1
从浏览器到没有外部 IP 的实例的 GCP SSH 仅在几种配置下有效。来自文档:
连接到没有外部 IP 地址的实例。如果您的 Compute Engine 实例只有内部 IP 地址,请使用以下选项之一进行连接:
使用配置好的浏览器通过 SSH身份感知代理 TCP 转发如果没有外部 IP 的实例配置为允许通过 IAP 进行 TCP 隧道传输,您也可以从浏览器使用 SSH 连接到该实例。
使用堡垒主机从浏览器使用 SSH。使用浏览器的 SSH 连接到具有外部 IP 地址的堡垒实例。从堡垒实例连接到仅具有内部 IP 地址的目标实例。
ssh -A internal-ip
第一个选项是 GCP 提供的 TCP 代理,他们也使其与浏览器 SSH 配合使用。
第二个是您运行的 shell box,外围网络和内部网络均可访问。也称为堡垒主机。